Коммутатор - Настройка частной виртуальной локальной сети [Обзор]

Создан - Обновлено
Serhii Boiarynov
Print Friendly and PDF
Еще есть вопросы? Отправить запрос

Важное уведомление:
Уважаемый покупатель, пожалуйста, обратите внимание, что мы используем машинный перевод для предоставления статей на вашем родном языке. Не весь текст может быть переведен точно. В случае возникновения вопросов или несоответствия точности информации в переведенной версии, пожалуйста, ознакомьтесь с оригинальной статьей здесь:Original Version

[Stand-alone] Private VLAN: Чтобы обеспечить безопасную среду для каждого пользователя в одной VLAN, мы блокируем трафик между пользователями в одной VLAN. В этой статье рассказывается о том, как настроить частную VLAN в наших коммутаторах L2+ / Layer 3. Частные VLAN используются для блокирования трафика между портами одной VLAN.

Справочная информация

Используя VLAN на основе тегов 802.1Q, мы не можем блокировать связь клиентов в одной VLAN друг с другом

mceclip0.png

Взгляните на этот сценарий. В нем блокируется трафик с портов 3/4/5 для обеспечения безопасности сетевой среды небольшого подразделения.

Решение

Изоляция портов (изоляция L2)

  • Порты 3-5 не могут взаимодействовать друг с другом
  • Порт 3-5 может взаимодействовать с портом 24 восходящей линии связи

Мы можем включить изоляцию портов на портах 3/4/5. Изолированные порты (3-5) не могут взаимодействовать друг с другом. Но они могут взаимодействовать с портом uplink 24 для доступа в Интернет.

mceclip1.png

Проблема с изоляцией портов: Если порты 3-4 новой VLAN 200 захотят взаимодействовать друг с другом, изоляция портов не сможет этого сделать.

Решение Приватная VLAN:

Преимущества частной VLAN заключаются в предоставлении нового метода блокировки трафика между портами одной VLAN. Пользователям не нужно включать изоляцию портов для достижения поставленной цели - обеспечения безопасности сети на объекте.

Пользователи могут указать, какие порты в одной VLAN не подлежат изоляции, добавив их в список promiscuous port.

Коммутатор автоматически добавляет другие порты в этой VLAN в список изолированных портов и блокирует трафик между изолированными портами.

Порты, работающие в режиме promiscuous, могут взаимодействовать с любыми портами в той же VLAN.

Однако изолированные порты могут взаимодействовать только с портами promiscuous.

Поэтому для них существует два правила работы с портами:

  • Promiscuous Port = может взаимодействовать с любыми портами в той же VLAN.
  • Изолированный порт = может взаимодействовать только с промискуитетным портом в той же VLAN

mceclip2.png

Как работает частная виртуальная локальная сеть

  • Настроить промискуитетный порт

mceclip3.png

Рассмотрим пример; порты 3/4/5/24 настроены как члены VLAN 100.

Порт 24 выбран в качестве порта promiscuous в частной VLAN ID: 100.

Коммутатор автоматически добавляет порты 3/4/5 в VLAN100 в качестве изолированных портов и блокирует трафик между ними.

1) Настройка частной виртуальной локальной сети

Перейдите в:

Старый графический интерфейс:

Advanced Application > Private VLAN

mceclip4.png

Новый графический интерфейс: 

SWITCHING > Private VLAN

2) Режимы частных виртуальных локальных сетей

Обычный: Это порты в статической VLAN. Это не частная VLAN

Promiscuous: порты в основной VLAN работают в режиме promiscuous. Они могут взаимодействовать со всеми портами первичной VLAN и связанными с ней Community и Isolated VLAN. Они не могут взаимодействовать с портами Promiscuous в разных первичных VLAN.

Isolated: Порты в изолированной VLAN могут взаимодействовать только с портами Promiscuous в связанной первичной VLAN. Они не могут взаимодействовать с другими изолированными портами в той же изолированной VLAN, неассоциированными портами Promiscuous первичной VLAN или любыми портами Community.

Community: Порты в Community VLAN могут взаимодействовать с портами Promiscuous в ассоциированной первичной VLAN и другими портами Community в той же Community VLAN. Они не могут взаимодействовать с портами в изолированной VLAN, неассоциированными портами Primary VLAN Promiscuous и портами Community в разных Community VLAN.

Пользователи конфигурируют порт promiscuous для определенной VLAN. Таким образом, остальные порты той же VLAN станут изолированными портами.

3) Настройка ассоциированной VLAN

Введите здесь VLAN ID ранее созданной VLAN.

Примечание! Выбранные здесь VLAN ID и Mode должны совпадать с VLAN ID и VLAN Type, созданными в разделе 

SWITCHING > VLAN > VLAN Setup > Static VLAN

Базовая конфигурация VLAN (Virtual Local Area Network):

Как настроить VLAN на коммутаторе Zyxel [GS/XGS-Series]

GS1900: Как настроить VLAN на коммутаторе Zyxel

Если вы хотите узнать/понять больше о нашей конструкции VLAN, пожалуйста, загляните сюда:

VLANs - Tagged VLANs vs. PVID (пример настройки Untagged/Tagged VLAN на GS22XX-Switch)

VLANs - более глубокий взгляд на их работу

Помощь в настройке Вы хотите получить помощь в настройке от нашей команды профессиональных специалистов? Пожалуйста, загляните сюда: Коммутатор ZyxelConfigService.

Статьи в этом разделе

Больше
Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 1
Поделиться